jean-Pierre Carlin spiegano come il Network Detection and Response potenzi la sicurezza moderna grazie alla piattaforma Open NDR.

Network Detection and Response: la visione di Corelight per proteggere le reti moderne

A cura di:Jean-Pierre Carlin Ore

La piattaforma Open NDR al centro della sicurezza informatica secondo Jean-Pierre Carlin di Corelight

Nel contesto del 23° Forum ICT Security, Jean-Pierre Carlin, Regional Sales Manager Southern Europe di Corelight, ha presentato una panoramica approfondita sul ruolo strategico del Network Detection and Response (NDR) nella sicurezza informatica contemporanea. L’intervento, dal titolo “Dati più intelligenti, rilevamenti più accurati, risposte più rapide: proteggere le reti moderne con Corelight Open NDR”, ha evidenziato come questa tecnologia rappresenti oggi un elemento imprescindibile per i Security Operations Center che si trovano ad affrontare minacce sempre più sofisticate.

“What is NDR?”

Cos’è l’NDR e perché è fondamentale

“NDR significa Network Detection and Response ed è una tecnologia che scansiona l’intera rete per individuare ogni tipo di evidenza”, ha spiegato il relatore nell’apertura del suo intervento. La soluzione analizza i dati per presentare agli analisti tutto ciò che riguarda violazioni, attacchi o comportamenti anomali all’interno del sistema IT, inviando tutte le informazioni al SIEM per essere elaborate automaticamente, eventualmente attraverso un SOAR.

L’esperto ha chiarito un punto fondamentale: “L’NDR non può essere autonomo di per sé, ma fa parte di una sicurezza globale, quella che chiamiamo triad”. Questa triade comprende l’EDR (Endpoint Detection and Response), che protegge server e endpoint, il SIEM che raccoglie log e dati per individuare correlazioni e attacchi, e appunto l’NDR che monitora il traffico di rete.

“Why NDR? – Integrated SOC Triad”

Il limite della sicurezza perimetrale

Carlin ha posto l’accento su una criticità spesso sottovalutata: “Se avete un EDR che protegge tutto il perimetro, potreste pensare di essere al sicuro perché il perimetro è protetto. Ma, come si può leggere sui giornali, quasi ogni settimana una importante azienda subisce una violazione. Anche se avete la sicurezza sul perimetro, gli hacker possono sempre entrare nel vostro sistema informativo”.

Ed è qui che entra in gioco l’NDR: “L’NDR è l’unico modo per scoprire cosa sta accadendo all’interno del vostro IT. Perché tutto ciò che gli hacker faranno passerà attraverso la rete in un modo o nell’altro. E l’NDR rileverà tutti questi movimenti nel vostro sistema IT”, ha sottolineato lo speaker.

Corelight: 15 anni di esperienza nella sicurezza di rete

Corelight è un’azienda americana specializzata in NDR, presente sul mercato da 15 anni con una gamma completa di capacità di rilevamento basate su firme, analisi comportamentale e molteplici tecnologie integrate. “In un unico appliance, che può essere virtuale o fisico, integriamo IDS, PCAP, NSM, YARA Host e tutti questi layer saranno in grado di rilevare specifici tipi di attacchi”, ha illustrato Carlin.

“Corelight is an Enterprise Class NDR”

Il DNA open source: Zeek

Un elemento distintivo di Corelight risiede nelle sue origini. L’azienda è stata fondata dalle stesse persone che, 25-30 anni fa, hanno creato Zeek (originariamente chiamato Bro), una tecnologia che trasforma qualsiasi flusso di rete in log. “Forse non conoscete Zeek perché il nome non è del tutto noto, ma probabilmente la maggior parte degli analisti usa Zeek anche quando non sanno che è Zeek”, ha rivelato il relatore.

Zeek è diventato uno standard de facto nel settore: “È open source e aziende come Microsoft, CrowdStrike e Splunk utilizzano Zeek. Abbiamo un linguaggio comune, una grammatica comune, che ci permette di comunicare tra noi e di interpretare e correlare tutti questi eventi”, ha spiegato l’esperto. Negli Stati Uniti, Zeek è ampiamente adottato dalle amministrazioni pubbliche e dal Dipartimento della Difesa, mentre Corelight protegge numerose istituzioni finanziarie e infrastrutture critiche nei settori dell’energia e dei trasporti.

Partnership strategiche per l’integrazione

Il modello di business di Corelight si basa su partnership strategiche particolarmente forti. “Abbiamo relazioni molto strette con aziende come CrowdStrike. CrowdStrike è un investitore di Corelight e parla il nostro stesso linguaggio, integrando anch’essa Zeek”, ha evidenziato Carlin.

Lo stesso vale per Cisco, Splunk e Mandiant. Un aspetto particolarmente interessante riguarda l’integrazione operativa: “CrowdStrike o Splunk possono acquisire i nostri dati e potete evitare di utilizzare la nostra interfaccia per gestire la soluzione – potete gestire Corelight direttamente da CrowdStrike o da Splunk. Questo vi evita di avere un ulteriore pannello di controllo per monitorare cosa sta accadendo nella rete”.

“Corelight Open NDR – SaaS Platform”

L’architettura della piattaforma

La piattaforma Corelight raccoglie dati da qualsiasi tipo di rete – fisica, cloud o OT – attraverso diversi sensori che normalizzano i dati in formato Zeek e altri standard, generando alert, log, file e packet capture. Questi dati possono essere inviati sia a un SIEM (come Splunk, Microsoft, Elastic o CrowdStrike) sia alla piattaforma proprietaria di Corelight.

“La nostra piattaforma esegue il triage degli alert, utilizza l’intelligenza artificiale per interpretarli e trasforma un alert espresso in termini tecnici in inglese, francese, italiano o qualsiasi altra lingua utilizziate, per renderlo facilmente comprensibile a tutti”, ha spiegato il relatore. Questa elaborazione assistita dall’AI fornisce una visione d’insieme degli alert e delle tendenze in corso.

I motori di rilevamento multipli

La piattaforma integra motori multipli per rilevamento, analisi dei file, NSM (Network Security Monitoring) e packet capture. Per quanto riguarda il rilevamento, Corelight analizza tutte le corrispondenze tra MITRE ATT&CK e i protocolli tecnici utilizzati dagli hacker, operando sia su base signature che comportamentale.

“Possiamo rilevare un cambiamento di comportamento sulla rete. Effettuiamo anche correlazioni con la threat intelligence, e tutta questa parte è integrata nel prodotto stesso”, ha dichiarato Carlin. Quando ci sono file nella rete, questi vengono analizzati con le regole YARA per individuare minacce attraverso queste tecniche.

Per l’analisi di rete, Corelight utilizza Zeek e dispone di un set completo di log standard utilizzati dal SIEM e correlati con l’EDR. “Possiamo anche ottenere informazioni dal traffico cifrato e dalle VPN. Naturalmente, non decifriamo il traffico, ma solo l’header ci fornisce molte informazioni che ci permettono di capire cosa sta succedendo ed eventualmente allertare quando c’è un attacco specifico”, ha precisato lo speaker.

Smart PCAP: l’ottimizzazione intelligente

Una funzionalità particolarmente innovativa è lo “Smart PCAP”, una cattura pacchetti intelligente. “Non inviamo ogni packet capture, che sarebbe piuttosto pesante per il SIEM e costerebbe molto denaro se inviassimo tutti i dati al SIEM”, ha spiegato Carlin. “Lo chiamiamo Smart PCAP perché inviamo solo la parte interessante di queste informazioni. E se l’informazione è ridondante, non inviamo gli stessi dati più e più volte – diciamo semplicemente che ci sono state X occorrenze dello stesso packet capture”.

“Multi-layered detection strategy”

Un approccio multilivello al rilevamento

Il relatore ha illustrato come ogni attacco abbia la propria tecnica o modo di procedere, e ogni approccio può essere rilevato con una tecnica diversa: comportamentale, signature-based, machine learning, rilevamento delle anomalie e altro ancora. “Invece di avere strumenti diversi per rilevare i diversi tipi di attacchi, tutto è integrato nei vostri sensori e nella vostra soluzione. Qualunque sia l’attacco, lo rileveremo perché abbiamo i diversi motori in grado di individuare questi diversi attacchi”, ha affermato con sicurezza.

Ma c’è di più: Corelight rileva anche la progressione di un attacco. “Rileveremo come l’attacco si sta muovendo e forniremo all’analista tutti i pattern dell’attacco stesso e il modo in cui sta evolvendo. E naturalmente forniremo informazioni su come fermare quell’attacco e quali sono i diversi modi per bloccarlo”, ha aggiunto Carlin.

“SOC Challenge – Pain points across the kill chain”

I problemi che Corelight risolve

L’intervento ha quindi affrontato le problematiche concrete che affliggono i Security Operations Center moderni:

1. Visibilità incompleta

“La maggior parte delle volte, quando avete un sistema informativo, sapete cosa sta succedendo sui bordi del vostro sistema, ma avete un punto cieco quando si tratta dell’interno”, ha osservato il relatore. La soluzione Corelight aiuta ad avere visibilità su ciò che accade all’interno della rete, compresi i movimenti laterali e gli spostamenti Est-Ovest.

2. Consolidamento degli strumenti

“Con una sola soluzione non avete bisogno di avere strumenti diversi per rilevare questo tipo di attacco e quell’altro tipo di attacco. Tutto è nella stessa soluzione, che rileverà qualsiasi tipo di attacco che possa essere individuato all’interno della rete”, ha sottolineato l’esperto.

3. Ottimizzazione dei costi

L’ottimizzazione dei log forniti al SIEM riduce i costi di utilizzo del SIEM stesso. “Dato che tutti i nostri strumenti sono integrati e inviano lo stesso tipo di alert, avremo un rilevamento coerente e alert consistenti in tutto il vostro sistema di sicurezza”, ha evidenziato Carlin.

4. Integrazione nativa

“Il fatto che possiamo dialogare molto strettamente con un SIEM come Splunk o con un EDR come Microsoft o CrowdStrike crea un sistema di allerta globale e coerente”, ha concluso il relatore.

“How can Corelight help you?”

Visibilità cloud e architetture ibride

Un aspetto particolarmente rilevante nell’era della trasformazione digitale riguarda la sicurezza cloud. “Quando ci si sposta da una rete on-site a una rete cloud o ibrida, si hanno altri punti ciechi relativi a cosa sta succedendo nel cloud e se è possibile ottenere informazioni dal cloud”, ha osservato Carlin. Corelight dispone di sensori che funzionano anche nel cloud, permettendo di estendere la copertura dell’intero sistema informativo.

Conclusioni

L’intervento di Jean-Pierre Carlin ha delineato un quadro chiaro del valore strategico dell’NDR nel panorama della cybersecurity moderna. In un contesto in cui le minacce evolvono costantemente e gli attacchi diventano sempre più sofisticati, avere una visibilità completa del traffico di rete – sia on-premise che in cloud – rappresenta non più un’opzione ma una necessità.

Corelight si posiziona come una soluzione enterprise-class che, grazie alle sue radici open source con Zeek, all’integrazione nativa con i principali player del settore e alle capacità di rilevamento multilivello assistite dall’intelligenza artificiale, offre ai team di sicurezza gli strumenti per identificare, comprendere e rispondere rapidamente alle minacce informatiche.

Come ha concluso il relatore invitando i partecipanti al Forum ICT Security a visitare lo stand per demo tecniche e discussioni approfondite, la vera forza di Corelight risiede nella combinazione di dati di altissima qualità, architettura flessibile e workflow intelligenti che accelerano il rilevamento delle minacce e la risposta agli incidenti.

 

Profilo Autore

Jean-Pierre Carlin ha oltre 25 anni di esperienza nel settore della sicurezza IT. Nel corso della sua carriera, Jean-Pierre ha avuto l'opportunità di lanciare e sviluppare commercialmente diverse filiali start-up nell'Europa meridionale. Prima di entrare a far parte di Corelight, Jean-Pierre ha avviato le attività di Swimlane, Recorded Future, Venafi, LogRhythm, A10 Networks, Proofpoint, Aventail/SonicWall, Netscreen e Netscout. Jean-Pierre si è laureato presso l'E.S.I.E.E. di Parigi come ingegnere di rete e telecomunicazioni.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi